Rester en sécurité avec les appareils intelligents et l'IoT

Dans cet article, nous utiliserons le terme « Internet des objets » ou « IoT » comme terme fourre-tout pour décrire les appareils intelligents interconnectés, la communication de machine à machine (M2M) et les logiciels associés /technologies matérielles.

Les informations sur les données et le potentiel d'automatisation fournis par les technologies de l'Internet des objets (IoT) ont créé de grandes opportunités d'amélioration des processus et d'autres révolutions dans le fonctionnement des entreprises. La popularité de ces appareils augmente considérablement. Le marché mondial de l'IoT devrait atteindre 22 milliards d'appareils activement connectés pour différents secteurs de l'IoT dans le monde d'ici 2025. 

Comme pour toute nouvelle technologie, l'Internet des objets n'est pas sans inconvénients en matière de cybersécurité. Toute entreprise cherchant à mettre en œuvre des appareils IoT doit le faire avec la cybersécurité comme préoccupation principale si elle souhaite protéger ses appareils, ses systèmes et ses données.

Comment l'IoT peut-il aider les entreprises ?

Les technologies sous l'égide de l'IoT peuvent faire des merveilles pour les entreprises dans divers secteurs, bien qu'un impact significatif ait été démontré avec leur utilisation dans les entreprises industrielles.

Les appareils IoT, ainsi que d'autres technologies en développement rapide telles que l'impression 3D, l'intelligence artificielle, l'informatique quantique et les progrès du stockage d'énergie, ont déclenché une révolution sans précédent dans les capacités des entreprises industrielles, conduisant à ce qui est connu sous le nom de Quatrième Révolution industrielle.

Les appareils IoT permettent aux entreprises industrielles de :

• Contrôler et surveiller à distance leurs chaînes d'approvisionnement
• Combinez les capteurs IoT avec la technologie existante pour aider à la prédiction et à la mise en œuvre de la maintenance préventive en surveillant les signes d'usure et en adoptant la solution nécessaire.
• Gérer leurs processus de manière plus économe en énergie grâce à des données énergétiques en temps réel

Pour les entreprises d'autres secteurs, les appareils IoT peuvent apporter des changements considérables sous la forme d'une meilleure connaissance des données. Ces améliorations peuvent offrir aux entreprises des avantages tels qu'un meilleur contrôle des stocks, une efficacité accrue de la planification et une réduction des déchets, entre autres améliorations.

Les dangers de l'IoT

Bien qu'il existe un avantage évident qui peut être obtenu grâce à la collecte de données et à l'automatisation qui accompagnent les appareils IoT, ils ne sont pas sans risques. De nombreux utilisateurs d'IoT et d'appareils intelligents ne réalisent pas à quel point certains de leurs appareils peuvent être accessibles. Le moteur de recherche Shodan parcourt le Web à la recherche d'appareils dotés d'une protection par mot de passe médiocre et affiche des captures d'écran de ce à quoi il a pu accéder - les exemples les plus notables étant les flux de caméras de sécurité IoT utilisées à la fois dans les espaces commerciaux et les logements privés.

Cette liste est loin d'être exhaustive, mais elle rappelle que les appareils IoT non sécurisés peuvent être exploités et doivent être mis en œuvre avec la prudence requise.

Manque de sécurité intégrée pour l'IoT et les appareils intelligents 

Les entreprises qui souhaitent tirer parti de la puissance de l'IoT doivent s'assurer que les fabricants d'appareils IoT qu'ils utilisent prennent la cybersécurité au sérieux.

Dans un effort pour commercialiser leurs appareils en masse et maintenir des coûts bas, de nombreux fabricants d'appareils intelligents ont choisi de renoncer à investir dans la cybersécurité et ont plutôt donné la priorité à la rentabilité de leurs appareils afin d'attirer des acheteurs pour ce marché en évolution.

Alors que des gouvernements tels que le Royaume-Uni et les États-Unis commencent à prendre au sérieux la législation sur la cybersécurité de l'IoT, la pression externe sur les fabricants d'appareils intelligents pour donner la priorité à la cybersécurité dans leur processus de développement d'appareils n'a pas été suffisante.

De nombreux appareils intelligents ne sont pas intégrés aux fonctionnalités d'authentification à deux facteurs (2FA) et ne chiffrent pas non plus les données qu'ils collectent et transfèrent. Jusqu'à ce que les fabricants d'appareils intelligents soient tenus responsables de la mise en œuvre de la sécurité en tant que priorité dès le premier jour du développement, les appareils intelligents continueront d'être un vecteur viable pour les menaces de cybersécurité.

Exemples d'atteintes à la sécurité de l'IoT

Historiquement, les appareils IoT ont été utilisés comme point d'entrée pour les attaques de logiciels malveillants. Pour fournir plus de contexte, voici quelques exemples très médiatisés.

Attaques par déni de service distribué (DDoS)

En 2016, un botnet connu sous le nom de « Mirai » a exécuté une attaque par déni de service distribué (DDoS) en exploitant les mots de passe par défaut d'une variété d'appareils IoT. L'attaque DDoS a entraîné la perte de connectivité Internet pour une grande partie de la côte est des États-Unis.

La relative facilité avec laquelle cette attaque a été mise en œuvre donne un aperçu de la façon dont les technologies IoT peuvent être exploitées à des fins néfastes, et c'était loin d'être la seule attaque de botnet alimentée par des appareils IoT compromis.

Tentative de Stuxnet de détruire des machines nucléaires

Bien que les créateurs de Stuxnet ne soient pas confirmés, une étude approfondie de ce ver informatique hautement évasif a confirmé son objectif :cibler les centrifugeuses utilisées dans les centrales nucléaires et les reprogrammer pour effectuer des cycles qui endommagent leurs composants physiques. Stuxnet fournit un avertissement selon lequel les vulnérabilités des machines connectées peuvent causer des problèmes plus importants que les données perdues et les logiciels désactivés - elles peuvent causer de graves dommages physiques aux appareils, voire mettre des vies en danger.

Comment un thermostat conduit à une violation de données

Un casino anonyme de Las Vegas avait une base de données de données client volée de la manière la plus inattendue possible - via le thermostat de son aquarium. Le casino a utilisé un thermostat IoT connecté au wifi pour surveiller et ajuster la température de l'aquarium. Comme le thermomètre se trouvait sur le même réseau que les données de leurs clients, les cybercriminels ont pu exploiter les vulnérabilités du thermomètre pour l'utiliser comme point d'entrée.

Passer du Cloud Computing au Fog Computing

Contrairement à la croyance populaire, l'Internet des objets peut fonctionner sans fournisseur de cloud computing externe, cependant, les avantages du cloud computing doivent être fortement pris en compte avant de décider de passer à une solution sans cloud.

Les entreprises qui souhaitent avoir un contrôle total sur leurs données peuvent tirer parti de leur propre infrastructure de « brouillard informatique » contrôlée localement pour leur permettre de traiter et de transmettre leurs données IoT sans les partager avec un fournisseur de cloud computing externe.

Le Fog computing est une infrastructure informatique décentralisée qui transmet les données des appareils IoT à une passerelle sur le réseau local (LAN) qui gère la transmission des données au matériel de traitement approprié - l'utilisation de matériel local pour ce traitement de données est souvent appelée " informatique de pointe ». Bien que le fog computing et le edge computing offrent une série d'avantages, notamment une latence réduite et un meilleur contrôle sur la façon dont les données sont partagées et transmises, ils ne sont pas sans vulnérabilités.

Les entreprises qui utilisent le fog computing et l'edge computing pour stocker et transmettre leurs données sont les seuls fournisseurs des mesures de cybersécurité physiques, procédurales et techniques nécessaires pour protéger les données qu'elles collectent, ce qui n'est pas une mince affaire.

Les principaux fournisseurs de cloud computing investissent massivement dans la mise en œuvre et le maintien de mesures de cybersécurité de pointe pour protéger les données qu'ils stockent, transmettent et traitent, car l'ensemble de leur modèle commercial dépend de leur fiabilité et de leur sécurité. Les entreprises qui souhaitent simplement utiliser des appareils IoT pour mettre à niveau leurs opérations habituelles peuvent ne pas être raisonnablement en mesure de maintenir un niveau de sécurité similaire à celui des fournisseurs de cloud computing, ce qui entraîne des risques de cybersécurité accrus si leur utilisation du Fog Computing n'est pas effectuée avec une cybersécurité tout aussi robuste. mesures.

Comment utiliser les appareils IoT en toute sécurité

Bien qu'ils ne soient pas sans risques, les appareils IoT présentent une opportunité sans précédent de progrès dans la collecte et la transmission de données qui peuvent conduire à des gains incroyables de capacités et d'efficacité. Pour utiliser les appareils IoT en toute sécurité, il existe des mesures de sécurité clés qui peuvent être mises en œuvre.

Crypter les données sensibles

Bien que le processus de cryptage des données avant leur envoi pour traitement au fournisseur de cloud computing puisse entraîner des retards dans la transmission des données, il s'agit d'une étape importante pour les données sensibles. Les entreprises qui transmettent des données sensibles (telles que des données médicales) d'un appareil IoT au cloud doivent prendre au sérieux la sensibilité de ces données, mais des données plus anodines peuvent rester non cryptées.

Utilisez des mots de passe uniques

Comme on l'a vu avec l'attaque DDoS du botnet Mirai, l'une des méthodes utilisées pour exploiter les appareils IoT consiste à utiliser un logiciel qui tente d'entrer en utilisant des mots de passe par défaut connus utilisés par le fabricant de l'appareil IoT.

En plus de changer les mots de passe d'usine par défaut en un mot de passe unique, les appareils IoT qui sont utilisés doivent être fabriqués de manière à ce que les appareils ne puissent pas être réinitialisés au mot de passe d'usine par défaut, car la possibilité de réinitialiser un mot de passe par défaut pourrait fournir aux cybercriminels un vecteur supplémentaire d'attaques.

Utiliser un réseau distinct pour les appareils IoT

Pour les entreprises qui contrôlent des données sensibles, ces données doivent être conservées sur un réseau distinct de vos appareils IoT. En raison de l'immaturité relative de la sécurité des appareils IoT, les garder sur un réseau séparé réduit la possibilité qu'ils puissent être utilisés comme point d'entrée vers le réseau principal.

Choisissez judicieusement vos fournisseurs de cloud et d'appareils IoT

Les entreprises qui choisissent de tirer parti de la puissance du cloud computing pour leurs appareils IoT doivent choisir avec soin un fournisseur de plate-forme cloud IoT en qui elles peuvent avoir confiance pour sécuriser les données qu'elles stockent et traitent sur leurs systèmes. Ils devront également choisir des produits IoT fabriqués avec la cybersécurité comme préoccupation majeure.

Lorsque vous choisissez des fournisseurs d'appareils IoT pour vos besoins, tenez compte des éléments suivants :

• Le fabricant de l'appareil fournit-il un point de contact public pour les rapports de vulnérabilité de cybersécurité ? Ont-ils l'habitude de prendre ces signalements au sérieux ?
• Combien de temps le fabricant de l'appareil fournira-t-il des mises à jour de sécurité pour ses produits ?
• Le fabricant de l'appareil donne-t-il la priorité à la cybersécurité dans le cadre de son mandat de production ?

Considérations relatives à la cybersécurité du fournisseur de services cloud IoT (CSP) :

• Le CSP a-t-il l'habitude de prendre la cybersécurité au sérieux ?
• Quelles mesures de cybersécurité le CSP a-t-il prises pour protéger les données ?
• Le CSP peut-il proposer un chiffrement et d'autres mesures de sécurité à grande échelle à mesure que l'infrastructure IoT se développe ?

La liste ci-dessus est loin d'être exhaustive et chaque cas d'utilisation métier aura des considérations de cybersécurité uniques. Alors que les technologies IoT continuent de contribuer à une croissance rapide, les entreprises qui cherchent à tirer parti des informations et des fonctionnalités évolutives qu'elles fournissent devront d'abord donner la priorité à la cybersécurité et continuer à rechercher et à mettre en œuvre les meilleures solutions possibles pour leurs besoins.